Vlanからの脱出。 バグ? ハック?! 機能...またはドキュメントを読むことの利点

こんにちは、同僚。



繰り返しますが、キャプテンのマイナスを引き戻すリスクはありますが、それでも下の情報は役に立ちます。 結局、資本主義は最低レベルではありません。 真実を言うには、少なくともそれらを知っている必要があります。 そして、日常生活でありふれた博学の枠組みの中で、これが幼い幼稚園児(秋は夏になる)を除いて誰でもできるなら、プロの世界ではまだこれまで成長しなければなりません。 そのため、katの下の達人は見えないかもしれません。 まあ、ただ楽しんでいるなら、あなたは...







あなたの従順な人は、彼が同じことを感じるようにした写真を見なければなりませんでした-キャプテンも、何も明確ではないので、輝きません。

1人のユーザー、長い間使用されていないリンクを使用して、1つの巧妙なデバイスをハングアップさせました。 過去の遺産は、ドキュメントの欠如、ソケットのマークなど、すべてです。 問題ありません。 デバイスを接続し、カーネル内のfdbでMACアドレスを探し、アクセススイッチを見つけ、そのfdbで同じfdbを探し、ポートを決定し、必要に応じてすべてを構成します。 Macは既知であり、デバイスは接続されており、デバイスを学習するためのトラフィックは間違いなく提供され、カーネルに「到達」するはずです。それを探しています。



コア(触媒35xx)



sh macアドレステーブル| i xxxx.xxxx.xxxx



しかし、奇妙なことは、MacがいくつかのVlanに加えてすぐに点灯することです。 はい、デバイスでは実際にタグ付けされていますが、アクセススイッチ(AT-85xx)のポートはタグなしとして構成されています。 タグ付けされているように、それはどのVLANにも含まれていません。 作者は直感的に(そして無駄にマニュアルを読む必要があります!)ciscoのような「クリーン」なタグなしポートの動作に期待されます。



スイッチポートモードアクセス

スイッチポートアクセスVLAN xxx



しかし、私がすでに気づいたように-無駄に。 テストマシンでのさらなる調査により、タグなしポートへのタグ付きトラフィックは静かに受け入れられ(スイッチに対応するVLANがある場合はessno)、転送される(戻るessnoではない)ことが示されました。

特定のIPの静的レコードを管理VLANからテストマシンのarpテーブルに入力し、タグ付けされたとおりにネットワークに持ち上げた後、私は冷静にarpリクエスト以上のものをそこに殺到しました。 これは悪いです。

状況はマニュアルによって明らかにされました。 これは完全に正常なスイッチの動作であり、コマンドで無効にできることがわかりました



スイッチのフィルタリングを設定= yes



確かに、マニュアルでは、混乱しない限り、デフォルトでこのコマンドが存在し、実際に観察される動作を無効にする必要があると書かれています。 しかし、ポイントではありません。 ちなみに、コマンドはweb guiからは使用できません(ここでは、無知の理由)。



そして、判明したように、スイッチの実際のデフォルト設定は、マニュアルのパラメータのデフォルト値に関する情報よりも802.1Q標準とより一致しています。



standard.ieee.org/getieee802/download/802.1Q-2005.pdf



c。 48



8.6.2イングレス

各ポートは、Enable Ingress Filteringパラメーターをサポートする場合があります。 このパラメーターが設定されている場合、VIDに関連付けられているメンバーセット(8.8.9)にないポートで受信されたフレームは破棄されます。 このパラメータのデフォルト値はリセットされます。つまり、すべてのポートの入力フィルタリングを無効にします。 このパラメーターの設定をサポートするポートは、リセットもサポートする必要があります。 パラメーターは、条項12で定義されている管理操作によって構成できます。



All Articles